開源軟件之七宗罪以及背後的陰謀

咱們天天使用着大量的開源軟件，咱們歌頌她讚美她。當有人站出來講一句開源很差

確定會激起N多人站出來批評。而後給你列舉出N多開源的好處和閉源的壞處。

首先我不反對開源，本文只是無聊時候的本身一點思考。想噴的各位請看完再噴。謝謝

自從開源運動發起之後。各類針對商業軟件爲目標的開源項目相繼啓動。並且冠以開源之名

就會獲得尊重獲得你們的支持。哪怕他曾經是一個「臭名昭著」的企業。

1. 安全性---代碼可審查和補丁更新效率

以安全性最爲頂尖的Linux爲例吧。那些鼓吹Linux的多麼無敵的大神們怎麼遇到這事情就避而不談了？既然是無敵的安全機制。爲何Linux還要打補丁？並且許多都是安全補丁。Kernel爲何會被入侵？並且最懼怕的是Hacker植入後門代碼。

作了一下調查發現鼓吹Linux安全性的多數都是運維+應用級程序員（包括web和應用軟件開發的）大部分人都沒有詳細的度過linux的源代碼，請問那股無敵的自信哪裏來的。事實上有多少人會由於Linux是開源的使用Linux而更多的是由於免費和高效纔去使用linux，事實上由於linux安裝軟件超麻煩要記住N多命令以致於不得不找各類腳本才能夠解決那些複雜而多樣的命令的問題。

Linux真的安全麼？開源安全麼？因爲開源的混亂和代碼審查工做的不到位。各類被安插了後門代碼和各類隱藏後門通常人就差看不出來的。好比ShellCode被加密起來看成一組什麼常量或者轉換成字符串。當某些特定狀況下才會觸發。但是這樣的文檔通常是不會隨着源代碼發佈的。（中國的那些自主產權爲何沒辦法消化？的確拿到了設計圖和專利。）研究的過程和推導的過程纔是最重要的。而咱們忽略了這個最重要的步驟。這和咱們這個社會的哲學觀有關係。老闆只認結果不重視過程，沒有過程哪裏來的結果。真正研發過程只有研發工程師知道。你拿着研發的結果不知道複雜的過程你根本沒有辦法推導出各類狀況和爲何這麼設計。世界上有太多隻有結果過程由於某些人的消失而永遠弄不清答案的事情了。扯遠了。

若是你弄不清楚他爲何這麼設計。若是裏面有一些暗藏後門的邏輯請問誰能審查出來？通常人能檢查的也就是一些語法錯誤簡單的邏輯錯誤。但是真正的邏輯陷阱有幾我的能夠審查出來？專業化的審查工具？呵呵我想說hacker手裏的審查腳本遠比通常人知道的要多得多的多。不然哪裏會有這麼多漏洞。軟件開發不是人多就能解決問題。不然也不會出現「錢學森一我的頂得上五個師的威力」這句話了。

精巧設計的邏輯漏洞絕大多數的人是審查不出來的。QA更檢測不出來。拋開這個不說單純從代碼安全性上來講。因爲是開源的。查找漏洞的方式更簡單。之前咱們還須要打開IDA，Ollydbg，Windbg等工具一行行彙編審查。或者fuzz如今咱們根本不須要了。直接看代碼就行了。檢查各類函數入口看看有沒有能夠利用的地方。專業的hacker會審查這些漏洞而後看成0day存儲起來—實際上發佈出來的0day不多不多。當你知道0day發佈的漏洞的時候實際上都是過了半年甚至好幾年的漏洞了。這些早就是行業潛規則了私有化的工具私有化的漏洞。

Hacker滲透一個系統首先要收集資料。因爲大量的開源致使他們很容易獲取整個網絡架構服務器配置，網關設置信息。這些信息根本沒法隱藏。這些都是沒法避免漏洞。你期望有一個好像偵探同樣的漏洞挖掘人員能夠大公無私的挖掘到漏洞而後第一時間放出漏洞信息麼？可行性幾乎微乎其微。這麼多人研究越獄爲何只有一兩我的成功了還藏着掖着放個視頻顯擺一下？由於你們都知道這能夠爲他帶來可觀的收入，

早年Intel一個浮點數漏洞讓Intel損失好幾億，軟件的一個漏洞損失應該更強纔對。在地下某些黑市一個針對遠程溢出的漏洞能炒到幾百萬上千萬的都有。並且願意購買這些東西的人太多了。作黑產地，專業滲透團隊，ZF，黑灰白都有。

請問開源軟件的安全性誰來保證？靠你們監督麼？可行麼？並且許多開源底層通常人也接觸不到。再說有的時候找到漏洞的成本比修補這個漏洞的成本更高。請問開發團隊由收入這個漏洞查找的人誰來給予獎勵？單靠表彰可能麼？

 

2. 質量

絕大部分開源軟件的質量不好。由於大部分開源項目都是一時熱血發佈的。天然是想到什麼寫什麼。什麼華麗的技術都用進去，熱血過了咋辦？我想大部分人都沒想過。就和好多人說我愛這個女孩非她不娶，實際上最後結婚的大部分也都不是原來的那個她了。

但是當時以爲我之後確定會一直愛她（它）會一直一直維護下去的。

大部分參與開源的人一半是以爲本身還行隨份子（大部分開源項目管理者以爲人多好聽天然就是有幾個算幾個只要有的人都算進來。說出去好聽。咱們的項目有好幾我的共同開發。很多都是大學生爲了作畢業設計或者其餘目的參與的）

徹底就是一個雜牌軍。主力開發人員就那麼幾個。好吧這個項目很好很快獲得你們的青睞有了一些小型的用戶。靠這樣的撞大運的開發方式能有好的質量麼？

ACE那樣的項目開發者就是爲了作實驗寫了一些論文和書。隨後這個項目幾經轉手最後弄得理論上最強大。實際上沒幾我的敢用。

能像MySQL，Linux，GCC這樣的項目少之又少。就這還不算某些大公司背後的陰謀

3. 可維護性，制定性和開源協議

若是這開源團隊不作了。你能夠繼續維護這個開源軟件，聽上去很美麗，實際上能本身維護像Linux，MySQL這樣規模很大的軟件能有幾我的？再說我要的是使用而不像作開發人員。我若是有開發能力我本身開發一個好了幹嗎要用它呢？

開源軟件給咱們畫了一個很大的餅。大到咱們根本沒辦法下嘴去吃它。我認可有一些團隊能夠維護Linux，MySQL這樣的工程。但是這些人。要麼是大公司要麼是原開發者另起爐竈搞得項目。通常人根本沒法涉及這個領域。

還有軟件各類開源協議。我給XX公司制定的某個MySQL版本增長了他們本身特有的一個什麼技術來改進運行效率。請問我是否要開源？若是必需要開源的話那企業機密和我本身研究的一種新的算法和技術怎麼就無緣無故就開源了？若是我不開源是否是就不尊重他人？並且這個協議誰來保證？當別人侵犯了你的權益誰來給你保障？誰來審覈是否是有人侵犯你的權益？

開源你就要遵循開源協議。好比阿里云爲何Android會站出來反對？

由於這是Android想作的。阿里你竟然先作了。你竟然不按照我設定的步驟走，我就搞死你。開源軟件真的是「開源」的麼？就和ARM的協議同樣

有許多個版本。有你想怎麼修改就怎麼修改的，有你只能外圍修改的核心不能動的，還有你根本不能動只能「免費，自由」使用的。

開源協議看似我開源的。實際上背後的條條框框你知道麼？

你必須遵循個人約定。你能在個人上面修改的東西頗有限。超過了協議約定我會告死你的。。。

4. 自由，免費，專利與開源協議的法律約束

許多人說開源不等於免費。好的請問你都開源了你如何保證別人會使用你的程序還會付錢給你？你沒辦法保證。包庇centos和rh如出一轍rh去告centos了麼？你都開源了你管別人怎麼用了。

軟件免費了。請問開發者的開發費用誰來支付？基金會？反過來想一下。是否是咱們都是基金會的廉價勞動力？只是冠以開源的名義作着和那些IT企業同樣壓榨勞動力的事情？

調查了許多開源協議。除了某些義務開源（好比MIT，BSD之類的協議）其餘的協議要麼是你用了某軟件必需要聲明，或者修改了要開源，或者我的版免費，企業使用要收費。你們哪裏有這麼好的自覺性？那請問收入如何保證？

因此大公司的開源項目大部分都不多是徹底開源協議。

大公司領導的開源項目。項目中有技術含量的早就被申請專利了。他只是不說在開源協議中提到一下。而後給你無償使用哦。一旦你的全部開發都給予這個平臺的話。有一天他要說我要收專利費了。咱們的項目已經徹底的捆綁上去了。咱們怎麼辦？

想一想轉基因農做物的專利陷阱的問題，老外怎麼這麼好讓你免費用他們的轉基因專利？

沒人想一想背後的故事麼？

開源協議在說什麼？有人研究過開源協議麼？我以爲大部分人對於開源協議的瞭解僅僅是開源了不須要付出任何代價，這個你修改了你也要跟着開源。僅此而已。剩下的那些霸王條款有人去研究過麼？

 

5. 技術支持和第三方服務

開源軟件大部分安裝都很麻煩。甚至有些不提供Bin直接Src本身愛怎麼折騰就怎麼折騰。出錯了不知道找誰去社區問，有不錯的社區會創建一個QA手冊。若是遇到一些QA沒有的問題怎麼辦？靠開發人員自覺的跟蹤回答？若是須要上門服務呢？須要比較專業的技術支持呢？費用誰來承擔？有明碼標價麼？

並且大部分軟件都很不負責任的寫一句「風險自行承擔，開發團隊概不負責」這樣的話。請問你看到這句話就和看到「最終解釋權歸本公司全部」是否是同樣的氣憤！

固然大部分人以爲沒什麼感受那是由於你沒有形成損失過。若是你真的由於使用軟件而形成嚴重損失你就知道。技術支持和第三方服務的重要性了。

 

6. 支持開源項目的幕後---誰纔是最終獲利者

這個問題估計你們都很關心。開發人員但願有一份本身想開發就開發。並且有零花錢的項目。國內幾乎沒什麼基金會，國外有由於他們有收入和捐款。並且大部分都是大公司背後支持的。這個東西發展的不錯最後就把她收購了。

而真正的開發人員最後就成了一種「被開源」的廉價勞動者

逆向思惟一下。開源項目都是什麼人？

1. 大基金會支持的項目
2. 大公司支持的項目
3. 大學或者科研機構
4. 超有責任感超負責任並且能夠拿到開發資源的「神人」

按照目的排列一下

1. 實驗性項目只是爲了作實驗而已-成熟的技術會另外收入商業產品中。好比RH
2. 名聲，企業形象。開源一些無關緊要的東西。好比微軟，SUN等等，國內新浪，網易，淘寶等等
3. 商業目的。例如Intel爲何嘛支持Linux開源？把本身公司生產的硬件須要用到的驅動或者一些軟件作到Linux上。隨着Linux或者其餘開源項目的順風車灑滿整個世界（就和植物的果實，還有蒲公英同樣）微軟搞得IronPython，Mono，還有許多其餘的東西
4. 技術領先目的。這個說的有點遠。考慮一下爲何美國和蘇聯當初都對中國或者其餘國家有過技術支持？僅僅是由於政治麼？

中國剛起步須要技術，蘇聯援助中國，那中國只能跟着蘇聯技術路線走。咱們就被他們死死的捆綁了。咱們始終只能得到他們的二流技術和仿製品。從中國的各類武器就能看出來。幾乎就和蘇聯當初一個德性。

美國支持日本和韓國的技術發展是否是也是抱着這種目的呢？帶你走入美式路線當你徹底進入的時候。你就始終落後於他。這些老大哥們就能夠緊緊地控制住技術發展路線。誰都想知道對方有什麼技術，既然沒法阻止別人研發，不如就讓別人跟着本身的路線走。反思條條大路通羅馬爲何非要跟他們走？

咱們的祖先之前科技發展很是迅猛並且領先，自從滿人入關之後廢漢學興西學因此咱們一直落後於西方。西方人卻在偷偷的學咱們老祖宗的東西。如今反思一下咱們是否是一開始就落後於西方呢？

1. 但願世界更美好更和平人們相互關懷愛護，拾金不昧，視如己出……

說了這麼多相信你們都知道個人意思了。老外在各個行業上壓榨與咱們。

冶金，材料學，醫學，電子，糧食，轉基因幾乎全部行業。怎麼軟件行業忽然這麼大方起來了？給予咱們免費的編譯器使用，教咱們如何使用他們的工程和代碼。

把咱們一步一步培養成只會使用他們開源工程的碼奴。還提出各類封裝思惟。你不用懂咱們是怎麼作的。你只須要知道怎麼用就行了。底層咱們來弄就行了（其實我跟大家說底層吃力不討好的。沒意思的，研究要花許多錢還沒收入的。這樣的髒活累活咱們作）

因而咱們就成了只會使用別人開源工程和底層的一羣碼奴了。

就和中國製造同樣。進口人家的設備和原材料。生產了東西賣給別人。看似是一筆不錯的生意。實際上咱們失去了許多。咱們技術受制於別人，生產的東西尚未很高的附加值。並且各類貿易費用都要咱們負擔。開源真的就這麼美好麼？

開源項目中的專利陷阱咱們發現了麼？

 

7. 技術開源與世界局勢---咱們的將來在哪裏

如今生產和原料不佔優點。中國在海外投資礦產有幾個發財的。賠本的卻是見過很多。爲何人家有礦產本身不開發等着咱們開發。咱們本身還賠本了呢？相信這樣的新聞你們確定知道的比我多。爲何？這個世界已經從單一的原料出口向高端技術和商業運做上發展了。搞開源的估計都不喜歡微軟和甲骨文。甲骨文見一個收一個再把開源項目搞死。微軟死活不開源。Apple呢？有人喜歡Apple麼？估計也都不怎麼喜歡吧。至少在Apple開源之前你們都不喜歡它…難道咱們就是由於他們貢獻代碼了才喜歡他們的麼？

爲何好好的壟斷不作他們去作開源？有什麼陷阱麼？老外的智商和商業運做玩的比咱們先進這麼多。爲何會這麼大方的在開源？突發善心？

就像上面我說的。生產和原料不佔優點了。如今佔優點的只有高技術和市場運做方式。

高技術有專利來保證。Apple是專利流氓芝麻大點的東西都要去申請專利。那再軟件上是否也是默默地這麼作了呢？或者說之後咱們連寫 if while都要付專利費給別人呢？

我想大部分搞開發的人都知道。公司裏每一年都會有一筆獎金是給那些有專利的開發人員的吧。雖然少的可憐。可是有總比沒有好。爲何？由於專利就是公司的法律籌碼！

調查過一些商業開源失敗的案例。舉個最近的例子吧。DOOM3都玩過。卡馬克大神開源了。但是裏面因爲Carmack's Reverse技術被另一家公司申請了專利（學名z-fail stencil shadows如今很多顯卡都集成了這個功能）。DOOM3面臨着開源就遭遇專利危機。通常人也就是算了不開源了。卡神不愧是卡神。本身開發一種替代技術來解決這個問題。

關於軟件的案例很少，可是足以看出來開源軟件是否也暗藏專利陷阱呢？技術是你研發的沒錯。可是不表明別人不能拿你的技術申請專利。那些美妙的開源基金和公司是否也在背地裏作這些見不得人的勾當呢？請問你敢說沒有可能麼？

他們發佈出去的只是代碼。設計文檔沒有開放。咱們知道老外是最重視文檔的，每一個模塊用了哪些技術爲何使用這個技術—這個技術的專利屬於哪家公司。難道你能以爲他徹底沒有作過記錄麼？真的由於開源軟件打起專利官司咱們這些使用者和二次開發商確定死定了…

如今你還會以爲「開源軟件」是玫瑰(不解釋)而不是罌粟(不解釋)麼？

開源軟件引領着技術風潮。開源軟件刺激技術發展。而後開源基金在幕後操縱着社區開發者。得到大量的開發資料和新的設計思路,而後偷偷的申請專利.誰能保證沒有？

別的國家都在作基礎研發，由於基礎研發比較透徹因此人家各類專利技術和底層穩定性作的很是好，因而他們利用開源軟件來收集各類資料，數據和設計思路。而後軟件的全部權還歸他們基金會或者公司全部。

高技術和全部權。經過技術專利和基金會的項目全部權而全權壟斷了。他們壟斷着上游

就像我說的。協議中最後一句「解釋權歸本公司（基金會）全部」那是否是意思就是說。項目中的技術和專利也都是屬於支持的基金會和幕後公司全部呢？

咱們吵着軟件專利阻礙軟件發展，那硬件又可況不是如此呢？開源硬件又如何？你不掌握製造技術，生產技術，研發技術，就算讓你組合起來能成爲一個產品。你又要付出多大的代價呢？當這個世界進步的同時。各類陷阱和戰爭也在悄然埋下伏筆不是麼？

寫在最後:

有許多人會以爲我危言聳聽。但是我舉得這些例子和說的一些事件大部分人都知道，誰也沒辦法徹底否認我說得這些事情。咱們到底是由於別人喊了一句「開源」咱們就成了開源世界的阿Q，仍是咱們是真正的技術先鋒呢？沒有組織的開源是否是會被國外的基金會當槍使呢？被「G命」這句號召感召的人們最後成了如今這些「寄生X」的墊腳石了。我不但願咱們也是被「開源」這句號召犧牲的一代人。

我真心但願能讓你們引發思考。而不是一會兒站出來講。你文中這個不對那個是錯的。你不懂開源精神。你說的這些我都懂，這篇文章我沒有深思熟慮細緻考究。我只是臨時有感而發寫成的，我以爲咱們須要的是反思！而不是相互攻擊。思考咱們的出路在哪裏。。。

 

 

轉自http://www.lupaworld.com/article-220634.html